F.A.C.C.T. раскрывает подробности деятельности хакера.
С 2020 года специалисты компании F.A.C.C.T. ведут мониторинг активности злоумышленника под псевдонимом VasyGrek, который атакует российские компании как минимум с 2016 года. Атаки начинаются с поддельных писем от бухгалтерии, содержащих финансовую тематику: «Акт Сверки», «Платежное поручение» и «1C». Эти письма содержат вредоносные вложения, которые инициируют заражение.
Злоумышленник активно использует инфицированные версии легитимных инструментов удаленного управления, таких как RMS (Remote Utilities), а также вредоносное ПО от разработчика PureCoder (PureCrypter, PureLogs и другие). Помимо этого, в арсенале VasyGrek имеются программы, доступные для покупки в публичном пространстве: MetaStealer, WarzoneRAT (Ave Maria), RedLine Stealer и другие.
В марте 2024 года компания BI.ZONE представила исследование активности VasyGrek, называя его деятельность "Fluffy Wolf". Однако, множество деталей всё ещё оставалось неизвестным.
В новой статье компания F.A.C.C.T. проливает свет на текущие угрозы для российских компаний от VasyGrek, анализируя его активность на форумах и связь с разработчиком вредоносного ПО Mr.Burns. В статтье также описана новая версия инструмента BurnsRAT и подробная информация о его создателе.
Хронология атак 2022-2024
Компания F.A.C.C.T. представила таймлайн атак VasyGrek за период 2022-2024 годов.
Актуальная цепочка заражения в 2024 году
Злоумышленник использует различные методы заражения. В некоторых атаках вместо вложенного архива используется URL-адрес, ведущий к загрузке архива. VasyGrek также меняет количество PureCrypter.Downloader, что влияет на количество вредоносных инструментов, загружаемых на систему.
Первое — находим постоянно, второе — ждем вас